[정보보호]개인정보보호, 이젠 실천이다 <7회>개인정보유출 차단을 위한 망분리

많은 기업이 개인정보 유출로 손해배상과 같은 피해를 입고 있습니다. 기업의 이미지 실추도 일어납니다.

상당수 개인정보 유출사고는 인터넷을 통해 악성코드에 감염된 개인정보취급자의 PC에 접근한 해커의 의해 이뤄집니다. 개인정보취급자의 시스템 ID와 패스워드를 탈취가 주요 원인입니다.

개인정보취급자의 컴퓨터가 인터넷과 차단돼 있었다면, 이 같은 사고는 발생하지 않았을 것입니다.

개인정보를 취급·관리하는 PC와 외부 인터넷으로 연결되는 PC를 분리하는 환경 구축만으로도 개인정보 유출사고를 사전에 방지할 수 있습니다. 정부는 이에 따라 업무망과 인터넷망을 분리하도록 하는 내용의 `정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령` 제도를 신설했습니다.

Q:온라인 회원의 개인정보를 처리·담당하는 업무를 맡고 있습니다. 빈번하게 발생하는 크고 작은 개인정보 유출 사고를 접할 때마다 개인정보 담당자로서 무거운 책임감을 느낍니다. 이번 망법 개정으로 `망분리`가 신설되었다는 소식을 들었습니다. `망분리`가 무엇인가요?

A:망분리란 악성코드·해킹과 같은 외부의 침입으로부터 내부의 전산자원을 보호하기 위해 개인정보처리자의 PC와 같은 장비를 외부 인터넷망으로부터 분리시켜 업무용과 인터넷용을 구분하는 것을 말합니다.

Q:`망분리`는 왜 필요하죠?

A:개인정보 유출사고는 인터넷 사용 중 개인정보취급자의 PC가 악성코드에 감염, 취급자의 ID와 PW를 탈취되는 것이 사고 발생의 주요 원인으로 밝혀졌습니다. 개인정보 유출사고를 효과적으로 예방하기 위해 업무망과 인터넷망을 분리토록 `정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령`에 망분리 제도를 신설, 지난 18일부터 시행됐습니다.

Q:`망분리` 환경을 구축해야하는 대상은 어디까지인가요?

A.:망분리 구축 대상 사업자는 전년도 말 기준 직전 3개월간 일일평균 100만명 이상의 이용자 개인정보를 보유하거나 전년도 정보통신분야 매출액이 100억원 이상인 정보통신서비스 제공자 등을 대상으로 하고 있습니다.

망분리 의무를 부담하는 사업자는 개인정보에 대한 다운로드, 파기, 접근권한 설정을 할 수 있는 개인정보취급자의 컴퓨터 등을 외부 인터넷망과 물리적 또는 논리적으로 분리해야 합니다.

하지만, 개인정보의 단순 열람·수정 권한만을 가진 콜센터, CS 부서 등은 망분리 대상에서 제외됩니다.


망분리 의무 대상 현황

김원석기자 stone201@etnews.com